Transcript
DIN Deutsches Institut für Normung e.v. Leitlinie zur Entwicklung eines Löschkonzepts mit Ableitung von Löschfristen für personenbezogene Daten Version Stand 25. Oktober 2013 Dr. Volker Hammer, Karin Schuler Secorvo Security Consulting GmbH Ettlinger Straße D Karlsruhe Tel Fax Inhaltsübersicht Vorwort Einleitung Gegenstand der Leitlinie Begriffe und Definitionen Abkürzungen Grundlagen eines Löschkonzepts Allgemeines Was bedeutet Löschen? Eine Löschregel für jede Datenart Löschregeln Datenarten Vorhaltefrist und Regellöschfrist Unterscheidung zwischen Archiv, Sicherungskopie und gesperrten Daten Standardlöschfristen, Startzeitpunkte, Löschregeln und Löschklassen Löschen in Sondersituationen Etablieren des Löschkonzepts Dokumentationsstruktur des Löschkonzepts Prozesse und Verantwortlichkeiten Projekt Löschkonzept Regelabläufe Datenarten bilden Datenbestände, Zwecke und Datenarten Datenarten systematisch erfassen Gestaltungskriterien für die Bildung von Datenarten Hinweise aus der Praxis Vertraulichkeitsklassifikation und Datenarten Löschfristen festlegen Standardlöschfristen verwenden Fristfestlegungen Übersicht über die Vorgehensweisen zur Fristdefinition Unmittelbare Fristen aus Rechtsvorschriften Fristfestlegung nach Prozessanalyse...25 DIN e.v. Leitlinie Löschkonzept für personenbezogene Daten Seite 2 von 46 7.2.4 Ableitung von Löschfristen nach einfachen Kriterien Besonderheiten für Fristfestlegungen Regellöschfristen und Abweichungen Friständerungen durch Verdichtung mit Wechsel der Datenart Wechsel der Datenart für Sonderfälle Ausnahmen von Regelprozessen: Aussetzung der Löschung Abweichungen von Standardlöschfristen für Sicherungskopien Löschklassen Abstrakte Startzeitpunkte abstrakte Löschregeln Matrix der Löschklassen Datenarten, Löschklassen und Löschregeln Vorgaben für die Umsetzung von Löschregeln Struktur und Inhalte der Umsetzungsvorgaben Verhältnis zwischen Regellöschfristen und Umsetzungsvorgaben Inhalt von Umsetzungsvorgaben Umsetzungsvorgaben für Querschnittsbereiche Umsetzungsvorgaben für einzelne IT-Systeme Einzelmaßnahmen zur Löschung von Datenbeständen Allgemeine Hinweise zu Umsetzungsvorgaben für Einzelmaßnahmen Umsetzungsvorgaben für Datenobjekte im Arbeitsalltag Umsetzungsvorgaben für Datenbestände in manuellen Prozessen Umsetzungsvorgaben für Datenabzüge für Sonderverwendungen Umsetzungsvorgaben für Restbestände in IT-Systemen Umsetzungsvorgaben für unzulässige Bestände mit personenbezogenen Daten Umsetzungsvorgaben für Auftragnehmer Management-System: Verantwortung und Prozesse für das Löschen von personenbezogenen Daten Allgemeine Einbettung in ein Management-System Rolle des Verantwortlichen für Datenschutz Pflegeverantwortung für Dokumente Weitere Prozesse beim Verantwortlichen für Datenschutz Freigabe-Beteiligungen Verantwortung und Prozesse im Zusammenhang mit Umsetzungsvorgaben...41 DIN e.v. Leitlinie Löschkonzept für personenbezogene Daten Seite 3 von 46 Organisationseinheiten mit Verantwortung für Bestände mit personenbezogenen Daten Weitere Aufgaben im Zusammenhang mit Umsetzungsvorgaben Organisationseinheit Change-Management Organisationseinheiten mit Verantwortung zur Steuerung von Auftragnehmern Bibliographie Hinweise für die Weiterarbeit an einem internationalen Standard Workshops, Konferenzen und Unterstützung Workshops des DIN/INS-Projekts Kickoff-Workshop Review-Workshop ISO/IEC Study Period Weitere Präsentationen...46 Historie Version Datum Änderung Autor initiale Fassung zur Diskussion mit dem DIN V. Hammer Strukturentwurf auf der Basis von Kickoff-Workshop und Vorarbeiten des Löschkonzepts von Toll Collect Inhaltliche und strukturelle Anpassungen nach Diskussion im Projekt-Team V. Hammer V. Hammer Textentwurf für den Review-Workshop V. Hammer, K. Schuler Anmerkungen der Teilnehmer des Review-Workshops und Hr. Cebulla eingearbeitet Zahlreiche redaktionelle Überarbeitungen Hinweise für die Weiterarbeit an einem internationalen Standard ergänzt V. Hammer, K. Schuler bis redaktionelle Korrekturen V. Hammer DIN e.v. Leitlinie Löschkonzept für personenbezogene Daten Seite 4 von 46 Vorwort Dieses Dokument ist das Ergebnis des Projekts Datenschutzkonformes Löschkonzept Standardisierungsmöglichkeiten für einen Best-Practice-Ansatz. Das Projekt wurde im Rahmen des Programms Innovation mit Normen und Standards vom Bundesministerium für Wirtschaft und Technologie gefördert. Projektträger war das DIN Deutsches Institut für Normung e.v. Ziel des Projekts war es, die Möglichkeit einer internationalen Standardisierung einer Leitlinie zur Etablierung eines betrieblichen Löschkonzepts zu prüfen. Wir bedanken uns für die inhaltlichen Diskussionen und Beiträge bei den Teilnehmern des Kickoff-Workshops und des Review-Workshops. Besonderer Dank gebührt Herrn Fraenkel, dem betrieblichen Datenschutzbeauftragten der Toll Collect GmbH, für die Unterstützung des Projekts. Bei der Toll Collect GmbH bedanken wir uns für den sehr offenen Umgang mit den Informationen zum Löschkonzept der Toll Collect und der Unterstützung bei der Durchführung der Workshops. Karlsruhe im Dezember 2012 Volker Hammer und Karin Schuler DIN e.v. Leitlinie Löschkonzept für personenbezogene Daten Seite 5 von 46 1 Einleitung 1. In sehr vielen Geschäftsprozessen und IT-Anwendungen werden personenbezogene Daten (pbd) verwendet. Sie unterliegen daher den Rechtsvorgaben des Datenschutzes. Diese fordern unter anderem, die Prinzipien der Erforderlichkeit, Datenvermeidung und Datensparsamkeit im Umgang mit pbd zu beachten, die auch eine Löschung derartiger Daten erfordern. So enthält Artikel 6 der EU-Datenschutzrichtlinie von 1995 eine Lösch- und Anonymisierungsvorgabe. Sie war in allen nationalen Datenschutzgesetzen der EU-Länder umzusetzen. Wenn datenschutzrechtliche Regelungen auf einem Verbot mit Erlaubnisvorbehalt beruhen, endet die Erforderlichkeit der Verarbeitung, wenn die Verwendung der Daten für die zulässigen Zwecke abgeschlossen wurde. Beispielsweise konkretisiert das deutsche Bundesdatenschutzgesetz in den 20 Abs. 2 und 35 Abs. 2 die Forderung nach Löschung für diejenigen Daten, die für die rechtlich zulässigen Zwecke nicht mehr erforderlich sind. Die Prinzipien wurden in [ISO 29100] als Data minimization und Use, retention and disclosure limitation aufgegriffen. 2. In der Praxis wird die Rechtsvorgabe der Löschung allerdings nur in geringem Maß umgesetzt. Sie stößt auf vielfältige Probleme, insbesondere weil unbestimmte Rechtsbegriffe ausgelegt werden müssen, es verantwortlichen Stellen schwerfällt, für Datenbestände das Ende von Prozessen und damit konkrete Löschfristen festzulegen, viele Beteiligte gegebenenfalls differenzierte Löschregeln verstehen müssen, um die Löschmechanismen konsequent in relevanten IT-Systemen und anderen Abläufen zu implementieren und es an klaren Vorstellungen fehlt, wie die korrekte Umsetzung der Löschregeln überprüft und gegebenenfalls nachgewiesen werden kann. 3. Um eine rechtskonforme, geordnete Löschung von pbd sicherzustellen, müssen verantwortliche Stellen daher ein Regelwerk entwickeln und Verantwortung zuweisen. Die Etablierung eines solchen Löschkonzepts ist eine komplexe und umfangreiche Aufgabe. Die Erfolgsaussichten für die Entwicklung eines konkreten Löschkonzepts können verbessert werden, wenn die verantwortliche Stelle auf einen bewährten Vorschlag zur Vorgehensweise und zur Gestaltung zurückgreifen kann. 4. In dieser Leitlinie wird eine Vorgehensweisen für die Etablierung eines betrieblichen Löschkonzepts vorgeschlagen. Die Vorgehensweise geht von der Annahme aus, dass ein tragfähiger Kompromiss zwischen den Vorgaben der Rechtsnormen und der Praktikabilität von Löschprozessen gefunden werden muss. 5. Dieses Dokument dient auch dazu, die Möglichkeit einer internationalen Standardisierung der Leitlinie zu prüfen. 6. Für diesen Text wird angenommen, dass beim Leser Datenschutzkenntnisse vorhanden sind. Andernfalls wären an vielen Stellen Erläuterungen notwendig, die den Rahmen dieser Untersuchung überschreiten würden. Ziele der Leitlinie 7. Die Leitlinie unterstützt verantwortliche Stellen dabei, ihre rechtlichen Pflichten zur Löschung personenbezogener Daten zu erfüllen. Sie gibt Empfehlungen für die Inhalte, den Aufbau DIN e.v. Leitlinie Löschkonzept für personenbezogene Daten Seite 6 von 46 und die Zuordnung von Verantwortung in einem Löschkonzept für pbd. Die Vorgehensweise und die Strukturierungsvorschläge sind auf alle verantwortlichen Stellen übertragbar. 8. Die Leitlinie richtet sich primär an Verantwortliche für den Datenschutz und an Personen, die an der Entwicklung eines Löschkonzepts mitarbeiten. Löschklassen 9. Ein Löschkonzept kann nur dann mit akzeptablem Aufwand etabliert werden, wenn alle Beteiligten die Löschregeln nachvollziehen können und die Komplexität der Anforderungen überschaubar bleibt. Einfache Regeln sind daher der Schlüssel zum Erfolg. Die Leitlinie empfiehlt aus diesem Grund die Verwendung standardisierter Löschfristen und sogenannter Löschklassen, die gegebenenfalls organisationsspezifisch angepasst werden. Diese Löschklassen reduzieren die Komplexität der unterschiedlichen Löschanforderungen und bilden den Kern des Löschkonzepts. Sie werden für die Zuordnung von personenbezogenen Datenbeständen zu Löschregeln verwendet. Nutzen 10. Ein Löschkonzept der hier vorgeschlagenen Art hat für eine verantwortliche Stelle vielfältigen Nutzen: Es dient dem Schutz der Betroffenen im Sinne des Rechts auf informationelle Selbstbestimmung. Die verantwortliche Stelle kann belegen, dass sie Maßnahmen definiert und umgesetzt hat, um ihre datenschutzrechtlichen Pflichten zur Löschung Daten zu erfüllen. Die Umsetzung von Löschfristen erfordert, dass Prozessabläufe vollständig bis zum Abschluss geklärt werden. Unklare Prozesse werden geklärt, aufwändige Abläufe gegebenenfalls effizienter gestaltet. Die Datenhaltung wird systematisiert und konsolidiert, weil auch Altbestände in die Löschung einbezogen werden müssen und diese dadurch bereinigt werden. Dadurch können auch der Aufwand und die Kosten für Datenmigrationen bei Systemwechseln erheblich reduziert werden. Durch die Bereinigung von Datenbeständen und das Auflösen unnötiger Redundanz können Kosten im IT-Betrieb gesenkt werden. Da das Löschkonzept Soll-Vorgaben für die Löschung von Datenbeständen macht, können daraus mit geringem Aufwand Prüfbedingungen für Audits abgeleitet werden. Durch die systematische Erfassung der pbd und der Löschprozesse in den Systemen erhält der Verantwortliche für Datenschutz wertvolle Detailinformationen als Ergänzung zum betrieblichen Verfahrensverzeichnis. Nicht zuletzt verbessert die Diskussion um Löschregeln und die konstruktive Gestaltung von Geschäfts- und IT-Prozessen die Verankerung des Datenschutzes innerhalb der verantwortlichen Stelle. 11. In der Leitlinie werden auch zentrale Begriffe definiert, die in den Diskussionen um Löschregeln benötigt werden. Sie erleichtern die Verständigung zwischen fachlichen Anwendern, IT-Verantwortlichen, Systementwicklern, Management, Verantwortlichen für den Datenschutz und anderen Beteiligten. DIN e.v. Leitlinie Löschkonzept für personenbezogene Daten Seite 7 von 46 Anwendungsbereiche 12. Primärer Anwendungsbereich der Leitlinie ist die Entwicklung eines Löschkonzepts mit Löschregeln und deren Umsetzung durch eine verantwortliche Stelle. 13. Die Umsetzungsvorgaben für eine regelgerechte Löschung von pbd in IT-Systemen können bereits bei der Konzeption von Geschäftsprozessen hilfreich sein. Für Systementwicklungsund Systembeschaffungsprozesse können aus ihnen Löschanforderungen definiert werden. 14. Die Leitlinie gibt zudem Software-Herstellern Hinweise darauf, wie IT-Systeme die Aufgaben der Löschung personenbezogener Daten durch verantwortliche Stellen unterstützen können. Wenn die Hersteller entsprechende Funktionen in die IT-Produkte aufnehmen, tragen sie zum rechtskonformen Design bei ( Privacy by Design ). 15. Darüber hinaus bietet die Leitlinie eine Grundlage, um Muster-Kataloge mit Löschklassen entsprechend nationaler, supranationaler oder branchenspezifischer Rechtsvorgaben zu entwickeln. Liegen solche Kataloge vor, kann der Aufwand für die Erstellung des Löschkonzepts durch die verantwortliche Stelle weiter verringert werden. 2 Gegenstand der Leitlinie 16. In einem Löschkonzept legt eine verantwortliche Stelle fest, wie sie die datenschutzrechtlichen Pflichten zur Löschung von pbd erfüllt. 17. Die Leitlinie beschreibt, wie ein solches Löschkonzept etabliert werden kann. Dazu gehören: Vorgehensweisen, durch die Löschregeln für personenbezogene Datenbestände festgelegt werden, eine Übersicht über notwendige Umsetzungsvorgaben zur Löschung innerhalb der verantwortlichen Stelle, Vorschläge für die Dokumentationsstruktur und Anforderungen an Prozesse und Verantwortung für die Etablierung, Fortschreibung und Umsetzung des Löschkonzepts. Abgrenzung 18. Die Leitlinie legt keine konkreten Löschregeln und Löschfristen fest. Diese hängen von den jeweils einschlägigen Rechtsvorschriften und den zulässigen Zwecken der Verarbeitung durch die jeweilige verantwortliche Stelle ab. Auch die Rechtsvorgaben selbst, beispielsweise der EU oder nationale Gesetze, sind nicht Gegenstand der Leitlinie. In der Leitlinie werden auch keine Aussagen dazu getroffen, unter welchen Umständen Datenbestände als anonymisiert gelten, deshalb nicht mehr unter die Datenschutzregeln fallen und daher weiter gespeichert werden dürfen. 19. Technische Mechanismen des Löschens sind ebenfalls nicht Gegenstand die Leitlinie, beispielsweise Löschen durch Überschreiben von Attributen, Löschen von Datensätzen oder Löschen ganzer Tabellen oder Dateien. Auch Fragen, die die Sicherheit von Mechanismen zum Löschen von Daten oder Vernichten von Datenträgern betreffen, werden nicht betrachtet. DIN e.v. Leitlinie Löschkonzept für personenbezogene Daten Seite 8 von 46 20. Diese Leitlinie bezieht sich nur auf das Löschen personenbezogener Daten. Daten, die keinen Personenbezug aufweisen, werden in der Leitlinie nicht betrachtet. Allerdings kann die Vorgehensweise grundsätzlich auch auf solche Datenbestände übertragen werden. 3 Begriffe und Definitionen 21. Anonymisieren Prozess, durch den pbd so verändert werden, dass der Betroffene nicht mehr direkt oder indirekt identifiziert werden kann. ANMERKUNG 1: Um pbd zu anonymisieren, werden beispielsweise einzelne Attribute eines Datenobjekts gelöscht oder überschrieben, die die Zuordnung zum Betroffenen ermöglichen. Die verbleibenden Daten (für die der Personenbezug aufgehoben wurde), fallen nicht mehr unter die Regeln des Datenschutzes und müssen demnach nicht mehr nach deren Vorgaben gelöscht werden. Identifizierende Attribute können z. B. sein Name und Geburtsdatum, Identifikationsnummern, biometrische Merkmale, zugeordnete Kontonummern, Telefonnummern, Steuernummern und dergleichen, Datenbankschlüssel, die auf Personen verweisen, oder auch eine Kombination mehrerer oder vieler einzelner Merkmale, die auf eine einzelne Person (oder eine kleine Gruppe) rückschließen lässt. ANMERKUNG 2: Je nach den Vorgaben der einschlägigen Rechtvorschriften muss der Aufwand zur Wiederherstellung eines Personenbezugs unverhältnismäßig hoch sein oder er darf gar nicht möglich sein. [ISO 29100] fordert, dass die Anonymisierung irreversibel ist. ANMERKUNG 3: Je nach dem, welcher Datenbestand nach der Aufhebung des Personenbezugs noch vorhanden ist und welche Daten für die Wiederherstellung benutzt werden können, können sehr vielfältige Strategien zur Wiederherstellung des Personenbezugs greifen. So können z. B. Zeitpunkte bestimmter Ereignisse, Bewegungsprofile oder Rechnungsbeträge verwendet werden, um Korrelationen zwischen Datenbeständen zu bestimmen und damit den Personenbezug wieder herzustellen. Solche Möglichkeiten müssen bereits in den Umsetzungsvorgaben für die Aufhebung des Personenbezugs berücksichtigt werden. Datenbestände zu anonymisieren ist deshalb häufig wesentlich schwieriger, als sie fristgerecht zu löschen. Je nach Umsetzung kann die Anonymisierung möglicherweise auch mit neuen Erkenntnissen oder neu verfügbaren Datenbeständen wieder rückgängig gemacht werden. 22. Aufbewahrungsfrist Frist, für die eine Datenart nach rechtlichen Vorgaben in der verantwortlichen Stelle verfügbar sein muss. ANMERKUNG: Eine Aufbewahrungsfrist trägt zur Vorhaltefrist bei. 23. Betroffener natürliche Person oder anderes Schutzsubjekt, auf das sich Daten beziehen. ANMERKUNG: Datenschutzvorschriften können sich auch auf andere Schutzsubjekte als natürliche Personen beziehen, beispielsweise juristische Personen. In dieser Leitlinie wird trotzdem durchgängig nur vom Betroffenen gesprochen. Werden von den einschlägigen Rechtvorschriften andere Schutzsubjekte eingeschlossen, sind auch deren Daten im Löschkonzept zu berücksichtigen. 24. Datenart Gruppe von Datenobjekten, die zu einem einheitlichen fachlichen Zweck verarbeitet wird. 25. Datenbestand eine Menge an personenbezogenen Daten der verantwortlichen Stelle 26. Datenobjekt Sammelbezeichnung für Objekte wie z. B. Dateien, Dokumente, Datensätze oder Attribute. ANMERKUNG: Datenobjekte können mit anderen Datenobjekten in einer Datenart zusammengefasst werden. Die einzelnen Datenobjekte können unterschiedlich komplex sein: so enthält ein Datenobjekt Datensatz in einer Datenbank mehrere Datenobjekte vom Typ Attribut. Detaillierte Hinweise gibt Kapitel 6.1. DIN e.v. Leitlinie Löschkonzept für personenbezogene Daten Seite 9 von 46 27. Dokument Schriftstück, in dem Teile des Löschkonzepts oder seiner Umsetzung beschrieben werden. ANMERKUNG: Als Dokument wird hier eines der Dokumente verstanden, in denen die verantwortliche Stelle die Festlegungen ihres Löschkonzepts trifft. Die Gruppe von Dokumenten, die das Löschkonzept bildet (siehe auch Löschkonzept), darf nicht verwechselt werden mit Dokumenten, die als Datenobjekte Teil eines Datenbestands sind und Löschregeln unterworfen werden. 28. Einschlägige Rechtsvorschriften die für einen spezifischen Datenbestand geltenden datenschutzrechtlichen Regelungen. ANMERKUNG 1: Zu den einschlägigen Rechtsvorschriften zählen z. B. Gesetze, Verordnungen oder vertragliche Regelungen. Da sich die einschlägigen Rechtsvorschriften länderspezifisch, nach Datenarten und verantwortlicher Stelle unterscheiden, führen sie zu spezifischen Löschregeln. Die Leitlinie gibt daher nur einen Rahmen vor, in dem diese Regeln entwickelt und angewandt werden können. ANMERKUNG 2: Zu Rechtsvorschriften zählen in Deutschland beispielsweise auch Betriebs- oder Dienstvereinbarungen. 29. Löschen behandeln von personenbezogenen Daten derart, dass sie nach dem Vorgang nicht mehr vorhanden oder unkenntlich sind und nicht mehr verwendet oder rekonstruiert werden können. ANMERKUNG 1: In der Regel ist sicheres Löschen gefordert. Sicheres löschen meint, dass der Aufwand für die Rekonstruktion der Daten unverhältnismäßig hoch ist oder aus physikalischen Gründen unmöglich ist. ANMERKUNG 2: Wenn die einschlägigen Rechtsvorschriften dies zulassen, können personenbezogene Daten auch anonymisiert werden, statt sie zu löschen. Siehe zu den Anforderungen an die Anonymisierung auch unter dem Begriff anonymisieren. 30. Löschklasse Kombination aus Löschfrist und abstraktem Startzeitpunkt für den Fristlauf. ANMERKUNG: In einer Löschklasse werden alle Datenarten zusammengefasst, die der gleichen Löschfrist unterliegen. Im Unterschied zur Löschregel für eine Datenart wird in der Löschklasse nur auf den Typ des Startzeitpunkts, nicht aber auf eine konkrete Bedingung für den Start des Fristlaufs abgestellt (siehe auch Kapitel 8). 31. Löschkonzept Festlegungen, mit denen eine verantwortliche Stelle sicherstellt, dass ihre personenbezogenen Datenbestände rechtskonform gelöscht werden. 32. Löschregel Kombination aus Löschfrist und Bedingung für den Startzeitpunkt des Fristlaufs. 33. Personenbezogene Daten (pbd) Einzelangaben über persönliche oder sachliche Verhältnisse eines Betroffenen. ANMERKUNG: Hier wurde die Definition des persone
